GitHub dia nanakana ny fanalahidy SSH ho an'ny mpampiasa ny mpanjifa Git izay mampiasa ny famakiam-boky JavaScript keypair mba hamoronana fanalahidy. Ohatra, voasakana ny fanalahidin'ny mpanjifa Git GitKraken. Ny vulnerability dia mitarika amin'ny famokarana fanalahidy RSA azo vinavinaina noho ny fahadisoana izay mampihena be ny kalitaon'ny entropy rehefa mamorona filaharana kisendrasendra ho an'ny fanalahidy. Namboarina tamin'ny keypair 1.0.4 sy GitKraken 8.0.1 ny olana.
Ny anton'ny vulnerability dia ny fampiasana ny antso "b.putByte(String.fromCharCode(manaraka & 0xFF))" mandritra ny dingana fananganana fototra, na dia eo aza ny hoe ny fomba avy amin'nyCharCode dia nantsoina indray tamin'ny fomba putByte. Ny fiantsoana avy amin'nyCharCode indroa ("String.fromCharCode( String.fromCharCode(manaraka & 0xFF)") dia nahatonga ny ankamaroan'ny buffer entropy feno aotra, izany hoe. ny fanalahidy dia noforonina mifototra amin'ny angon-drakitra "kisendrasendra", 97% ahitana aotra.
Source: opennet.ru